Neue BSI-Richtlinie für E-Mail-Sicherheit: Posteo erhält Zertifikat

Erstellt am 08. Dezember 2016, 14:30 Uhr | Kategorie: Medien

“Sicherer E-Mail-Transport” heißt die neue technische Richtlinie des BSI, die Anforderung für besseren E-Mail-Schutz definiert.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Mittwoch die technischen Richtlinie “Sicherer E-Mail-Transport” veröffentlicht. Sie definiert Maßnahmen, mit denen Mailanbieter einen geschützten E-Mail-Versand sicherstellen können – ohne Zugriff für unbefugte Mitleser. Das erste Zertifikat gab es für den Berliner Mailprovider Posteo.

zum Artikel

Posteo erhält als erster Anbieter Zertifikat über sicheren E-Mail-Versand

Erstellt am 07. Dezember 2016, 13:07 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

uns ist besonders wichtig, dass Sie Ihre E-Mails sicher versenden und empfangen können. Dazu haben wir eine Neuigkeit für Sie: Wir haben heute als erster Anbieter ein Zertifikat nach der neuen Richtlinie “Sicherer E-Mail-Transport” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten.

Das Zertifikat wurde uns von der Zertifizierungsstelle datenschutz cert übergeben. Auch Vertreter des BSI waren anwesend. Sie können ab sofort an dem Zertifikat auf unserer Webseite erkennen, dass unsere Sicherheitsmaßnahmen unabhängig geprüft wurden und nachweislich den Anforderungen des BSI entsprechen.


Übergabe des Zertifikats bei Posteo: Thomas Gast (BSI), Thomas Gilles (BSI), Ralf von Rahden (datenschutz cert), Patrik Löhr (Posteo), Florian Bierhoff (BSI)

Die neue Richtlinie beschreibt Maßnahmen, die ein E-Mail-Dienst ergreifen sollte, um E-Mails beim Transport wirksam vor unbefugten Mitlesern zu schützen. So müssen E-Mail-Dienste die Technologie DANE einsetzen, wenn sie eine Zertifizierung erhalten möchten. DANE beseitigt verschiedene Schwachstellen der gängigen Transportwegverschlüsselung TLS und verhindert so genannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer in einen Kommunikationsvorgang einklinken und die Verschlüsselung aushebeln. Posteo war 2014 der erste Anbieter, der DANE eingesetzt hat. Seither engagieren wir uns für die Verbreitung dieser noch recht neuen, aber für die Vertraulichkeit von digitaler Kommunikation wegweisenden Technologie. Damit unsere Kunden nicht nur untereinander sicher kommunizieren – sondern auch mit den Nutzern anderer E-Mail-Dienste. Deshalb freut uns besonders, dass der freie Standard DANE für eine Zertifizierung verpflichtend ist. #more#

Wir haben uns seit 2014 in einer Arbeitsgruppe gemeinsam mit anderen E-Mail-Anbietern an einem offenen Dialog mit dem BSI beteiligt und an der Entstehung der Richtlinie mitgewirkt. Dabei haben wir uns für hohe Sicherheitsanforderungen und eine einfache Umsetzbarkeit eingesetzt.

Wir kritisieren Behörden häufig, wenn Dinge in der Praxis nicht funktionieren – zum Beispiel in unseren Transparenzberichten. Die neue Richtlinie „Sicherer E-Mail-Transport“ des BSI begrüßen wir hingegen. Das BSI hatte ein großes Interesse daran, die Richtlinie in Zusammenarbeit mit den Anbietern praxisnah zu konzipieren. Die Richtlinie entspricht höchsten Sicherheitsanforderungen und eine Zertifizierung ist auch für kleinere Anbieter wie Posteo vom Zeit- und Kostenaufwand her umsetzbar.

Neues Zertifikat kennzeichnet sichere E-Mail-Dienste

Auch für die Verbraucherinnen und Verbraucher ist es aus unserer Sicht ein großer Fortschritt, dass Angaben von E-Mail-Diensten über ihre Sicherheitsvorkehrungen nun von unabhängigen Stellen überprüft werden können. Ob ein Dienst die Kriterien der Richtlinie nachweislich erfüllt, können sie künftig an den Zertifikaten auf der Website eines Anbieters erkennen. Das Logo verweist mit der Aufschrift “BSI TR-03108 zertifiziert” auf die entsprechende Richtlinie.

Die Richtlinie des BSI stellt keine rechtliche Verpflichtung, sondern eine Empfehlung über Sicherheitsvorkehrungen dar. Anbieter, die ein entsprechendes Zertifikat erhalten möchten, müssen allerdings nachweisen, dass sie alle Anforderungen der Richtlinie erfüllen.

Die Zertifizierung übernimmt eine unabhängige Stelle. Posteo wurde von datenschutz cert zertifiziert. Andere E-Mail-Anbieter und E-Mail-Dienste wie beispielsweise von Firmen oder Universitäten können sich ab sofort für eine Überprüfung anmelden. Wir hoffen, dass die Richtlinie die Verbreitung der empfohlenen Sicherheitstechnologien weiter stärkt. Hohe gemeinsame Standards verbessern das Sicherheitsniveau auch für E-Mails, die Sie an Kontakte bei anderen E-Mail-Anbietern verschicken. So wird E-Mail-Kommunikation insgesamt sicherer.

Viele Grüße,
Ihr Posteo-Team

Zusatzinformationen für Technikinteressierte

– Die Technische Richtlinie finden Sie auf der Website des BSI,
- Posteo verwendet DANE seit Mai 2014. Mehr zu DANE können Sie hier nachlesen.
- Ende-zu-Ende-Verschlüsselung macht Transportwegverschlüsselung übrigens nicht überflüssig: Ende-zu-Ende-Verschlüsselung schützt in der Regel lediglich die Inhalte Ihrer Kommunikation, nicht aber Metadaten – wie die Betreffzeile und die Informationen, wer mit wem kommuniziert. Eine Transportwegverschlüsselung mit TLS schützt sowohl die Inhalte als auch die Metadaten von E-Mails auf dem Weg durch das Internet. DANE sichert diese Verschlüsselung zusätzlich ab. Eine Ende-zu-Ende-Verschlüsselung liegt immer in der Hand der Nutzerinnen und Nutzer selbst, da niemand außer ihnen Zugang zu den privaten Schlüsseln haben darf. Wir raten, Ende-zu-Ende-Verschlüsselung mit einer starken providerseitigen Transportwegverschlüsselung zu kombinieren.

Material für Presseberichterstattung

Posteo-Pressemittelung 07.12.2016, Foto 1, Foto 2, Foto 3, Foto 4, Foto 5, Foto 6

Gegen Elektroschrott: Greenpeace veranstaltet "Repair Café" im Posteo Lab

Erstellt am 28. November 2016, 15:30 Uhr | Kategorie: Blog

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir möchten Sie auf eine Veranstaltung in unserem Posteo Lab aufmerksam machen. Am 3. Dezember ist Greenpeace Berlin mit einem “Repair Café” bei uns zu Gast. Dabei sollen alte Handys wieder funktionstüchtig gemacht werden, damit sie länger genutzt werden können und weniger Geräte auf dem Müll landen. Ab 11 Uhr hilft Greenpeace Interessierten bei der Reparatur ihres defekten Smartphones. Außerdem wird es eine Sammelaktion für alte Mobiltelefone geben.

Wenn Sie ein Gerät vor Ort reparieren möchten, melden Sie sich bitte unbedingt an, denn die Plätze für eine Reparatur sind begrenzt. Anmelden können Sie sich bei Greenpeace Berlin. Bitte nennen Sie in der Mail Ihr Handymodell und den Defekt. Wer lediglich herausfinden möchte, was genau am eigenen Gerät defekt ist, kann auch ohne Anmeldung vorbeikommen.

Greenpeace bittet alle Reparaturwilligen, die Ersatzteile für ihre Geräte selbst mitzubringen. Informationen und Tipps dazu finden Sie hier. Bei Fragen wenden Sie sich bitte direkt an Greenpeace.

Die Veranstaltung ist kostenlos, für Kinder gibt es ein Bastelprogramm.

#more#
Vortrag und Handysammelaktion

Nach Auffassung von Greenpeace sind viele Geräte gewollt so konstruiert, dass sie nach einer bestimmten Zeit kaputtgehen oder aufgrund fehlender Sicherheitsupdates nicht weiter verwendet werden können. Diese „geplante Obsoleszenz“ wird um 14 Uhr in einem Vortrag thematisiert.

Falls Sie noch ein altes Gerät haben, das Sie selbst nicht mehr benötigen, können Sie es während des Repair Cafés im Posteo Lab abgeben. Greenpeace spendet funktionstüchtige und reparierbare Geräte an die Flüchtlingshilfe, alle übrigen werden fachgerecht recycelt.

Greenpeace weist bereits seit einigen Jahren im Rahmen seiner Elektroschrott-Kampagne auf die enorme Ressourcenverschwendung und den Gifteinsatz in der Elektronik-Branche hin. Beim Gifteinsatz wurde schon einiges erreicht: So haben viele Hersteller Risiko-Chemikalien wie PVC und bromierte Flammschutzmittel inzwischen aus ihren Produkten verbannt. Die Ressourcenverschwendung und die kurze Lebensdauer von Smartphones sind jedoch weiterhin ein großes Problem.

Greenpeace will mit seinen Repair Cafés deshalb auf die kurze Lebensdauer von Handys und Smartphones hinweisen, Hilfestellung für die Reparatur defekter Geräte geben und so Elektroschrott reduzieren. Auch uns bei Posteo ist Nachhaltigkeit ein wichtiges Anliegen. Daher freuen wir uns, dass wir dem Repair Café unsere Räume im Posteo Lab zur Verfügung stellen können.

Die Eckdaten

Repair Café für Smartphones von Greenpeace Berlin
Samstag, 3.12.2016
Methfesselstraße 36
10965 Berlin

11-16 Uhr: Smartphone Repair Workshops, Bastelworkshop für Kinder, Sammelaktion von alten Handys und Smartphones
14 Uhr: Vortrag über beabsichtigte Kurzlebigkeit von Produkten („geplante Obsoleszenz“)

[Update] Unsere Vorabinformation zum neuen Test der Stiftung Warentest

Erstellt am 26. September 2016, 17:30 Uhr | Kategorie: Blog

Update: Inzwischen wissen wir, dass wir als einer von zwei Testsiegern aus dem Test der Stiftung Warentest hervorgegangen sind. Und das, obwohl einige unserer Verschlüsselungsfunktionen und Sicherheitstechnologien, die wir unterstützen, nicht getestet wurden. Immerhin wurde unser Krypto-Mailspeicher offenbar nachträglich berücksichtigt und im Artikel erwähnt. Der Testsieg freut uns trotzdem.
Unabhängig von unserem Angebot sind wir sehr erleichtert darüber, dass die Stiftung Warentest sich doch noch dazu entschlossen hat, kompromittierbare PGP-Lösungen nicht explizit zu bevorzugen. Dies hatte sich während der Testphase, die wir kritisch begleitet haben, abgezeichnet und war so auch in den Unterlagen dokumentiert.

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir wollen Sie heute rein vorsorglich vorab über einen neuen Test der Stiftung Warentest informieren, der am 28.09. erscheinen wird.

Evtl. ist Ihnen die Vorgeschichte bekannt: Beim letzten Test im Januar 2015 wurde Posteo einer von zwei Testsiegern. Der Test enthielt jedoch zahlreiche Fehler und Falschdarstellungen – auch zu Posteo, sodass die Stiftung Warentest den Vertrieb ihres Heftes damals stoppte und im folgenden Heft fast eine komplette Seite Richtigstellungen veröffentlichte.

Nach den Problemen mit dem letzten Test haben wir die Testphase diesmal kritisch begleitet. Der Testleiter ist derselbe.
Wir wissen als getesteter Anbieter selbst noch nicht, wie der Vergleichs-Test im Einzelnen diesmal ausgeht.

Was wir aber bereits wissen:
Zahlreiche Verschlüsselungsoptionen und Sicherheitstechnologien, von denen Sie bei Posteo profitieren, sind offenbar nicht Bestandteil des E-Mail-Anbieter-Tests. Darauf machen wir vorsorglich vorab aufmerksam. Denn Verbraucher gehen in aller Regel davon aus, dass bei einem unabhängigen Vergleich die wichtigsten Merkmale der jeweiligen Produkte in eine Benotung mit eingehen.

Folgende Funktionen wurden bei der Benotung offenbar nicht berücksichtigt:

- die TLS-Versand-Garantie
- der Posteo-Krypto-Mailspeicher
- das Posteo-Schlüsselverzeichnis
- die weltweite automatische Schlüsselsuche
- die Eingangsverschlüsselung mit S/MIME
- alle sonstigen Angebote rund um S/MIME

Dies geht aus dem endgültigen Untersuchungsprogramm und den Anbieter-Vorab-Informationen vom 30.08.2016 sowie aus den nachgereichten Test-Ergänzungen der Stiftung Warentest vom 16.09.2016 hervor. #more#

Auch ist keine Bewertung wichtiger Qualitätsmerkmale von HTTPS-Verschlüsselung zwischen Browser und Anbieter vorgenommen worden. Funktionen wie zum Beispiel HSTS, OCSP, Certificate Transparency oder HPKP, die wir unterstützen, sind wichtige Schutzmaßnahmen zur Stärkung der Browser-Zugriffs-Sicherheit.

Wir haben das großflächige Vernachlässigen dieser Funktionen und Technologien bemängelt – sie wurden jedoch nicht nachträglich in das Untersuchungsprogramm aufgenommen.

Verschlüsselte Transportwege erst nachträglich in Test aufgenommen

Fast wäre sogar eine der wichtigsten Technologien im Test nicht berücksichtigt worden: die TLS-Verschlüsselung der E-Mail-Transportwege zwischen den Anbietern.
Wir hatten kritisiert, dass sogar diese wichtigste Alltags-Verschlüsselung nicht geprüft werden sollte. Eine qualitativ hochwertige Transportwegverschlüsselung zwischen den Anbietern ist für den Verbraucher in der Alltagskommunikation maßgeblich wichtig.
Die Stiftung Warentest hatte lediglich getestet, wie die Anbieter zum Anwender hin mit TLS verschlüsseln. Wir haben die Tester hier auf eine neue technische Richtlinie des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum sicheren E-Mail-Transport verwiesen. Am 12.09.2016 wurde das Untersuchungsprogramm nachträglich entsprechend erweitert: Nun ist auch STARTTLS zwischen den Anbietern sowie die Unterstützung der Sicherheitstechnologie DANE Bestandteil des Tests.



Ohne dies bewerten zu wollen, möchten wir außerdem vorab darauf hinweisen, dass Nachhaltigkeitskonzepte, soziales Wirtschaften/Engagement (Corporate Social/Environmental Responsibility) ebenfalls nicht untersucht wurden.

Fehler in der Anbieter-Vorab-Information

Zu einem groben Mess- oder Berichtsfehler der Stiftung Warentest haben wir keine inhaltliche Rückmeldung erhalten und wissen deshalb nicht, ob dieser vor der Veröffentlichung beseitigt wurde. In der Anbieter-Vorab-Information ist fälschlicherweise als Testergebnis vermerkt, Posteo würde kein PGP im Webmailer anbieten.



Deshalb stellen wir hierzu vorsorglich fest: Das ist falsch.
Richtig ist: Posteo bietet seit zwei Jahren PGP im Webmailer an. Inzwischen sogar mit einem eigenen Schlüsselverzeichnis mit weltweiter, automatischer Schlüsselsuche, die ebenfalls in den Testunterlagen nicht auftaucht.

Des Weiteren ist in der Anbieter-Vorab-Information erstaunlicherweise vermerkt, unser Datenschutzbeauftragter sei auf der Website nicht auffindbar. Hierzu stellen wir fest: Auch dies ist falsch.
Richtig ist: In unserer Datenschutzerklärung sowie im Impressum geben wir gut auffindbar die Kontakt-Informationen unseres Datenschutzbeauftragten an.

Wir bitten um Verständnis, dass wir auf diese Fehler aufgrund der fehlenden konkreten Rückmeldung der Tester bereits vor der Veröffentlichung hinweisen. Wir möchten hier in jedem Falle einer möglichen Verbreitung falscher Tatsachen vorbeugen. Alleine die Testzeitschrift der Stiftung Warentest hat eine Auflage von mehr als 400 000 Exemplaren – und über die Nachrichtenagenturen werden Testinhalte am Veröffentlichungstag weiter verbreitet.

Wird die Stiftung Warentest kompromittierbare, proprietäre Verschlüsselungslösungen empfehlen?

Die Stiftung Warentest wird Angebote der Anbieter rund um die Ende-zu-Ende-Verschlüsselung PGP bewerten.
In diesem Bereich müssen wir, unter anderem aufgrund der uns zugesandten Anbieter-Vorab-Informationen, damit rechnen, dass die Stiftung Warentest hier eine Position vertreten wird, die fachlich hoch umstritten ist.

Es deutet sich an, dass gerade die Lösungen die beste Bewertung erhalten werden, von denen alle führenden Sicherheitsexperten abraten: Nämlich PGP-Lösungen, bei denen der private Schlüssel des Anwenders (der die Inhalte entschlüsselt) dem möglichen Zugriff des Anbieters ausgesetzt ist. Vor solchen Lösungen wird von vielen Seiten gewarnt – und auch wir lehnen sie strikt ab.

So wird in einer neuen Studie des BSI (Bundesamt für Sicherheit in der Informationstechnik), die erst im August hierzu veröffentlicht wurde, gewarnt:
“Bei der Ende-zu-Ende-Verschlüsselung kommt es darauf an, dass die Verschlüsselungssoftware unter der Kontrolle des Anwenders ist und damit lokal vom Anwender installiert wurde. Dies bedeutet, dass die Verschlüsselungssoftware nicht durch die Webanwendung ausgeliefert werden darf.” (Seite 9) Und an anderer Stelle heisst es: “Eine Browser-Erweiterung muss sicherstellen, dass die Webanwendung nicht in der Lage ist, an den Klartext der zu verschlüsselnden Daten zu gelangen. Dies ist nur dann gegeben, wenn alle kritischen Schritte durch die Erweiterung und nicht durch die Webanwendung vorgenommen werden. Dies beinhaltet in erster Linie die kryptografischen Funktionen.” (Seite 9)

Lösungen mit Schlüsseln im Einflussbereich des Anbieters kompromittieren Ende-zu-Ende-Verschlüsselung – und machen sie so schon per se wertlos. Der Anwender hat keine Kontrolle über sie. Stattdessen muss er der Implementierung seines Anbieters vertrauen. Das BSI betont in seiner Studie, dass es “bei der Ende-zu-Ende-Verschlüsselung jedoch darauf ankommt, dass auch dem Provider nicht vertraut werden muss.” (Seite 11)
Und auch die Fachzeitschrift c’t urteilt zu solchen Verfahren eindeutig: “Der alternative Mail-Service […] bricht mit dem Ende-zu-Ende-Prinzip, indem er die privaten Schlüssel seiner Nutzer serverseitig verwaltet. Integrität der Kommunikation kann so nicht gewährleistet sein, da opfert der Anbieter eindeutig zu viel Sicherheit für etwas mehr Komfort.” (Quelle: c’t 2015, Heft 13, Seite 139)

Wir teilen die fachliche Einschätzung des BSI sowie der führenden Sicherheitsexperten – und haben PGP im Webmailer bei uns auch dementsprechend umgesetzt. Die neue Studie des BSI haben wir der Stiftung Warentest bereits im August zugesandt. An ihr hat auch der Entwickler von GnuPG, Werner Koch, mitgearbeitet.
In der Anbieter-Vorab-Information vom 30.08.2016 wird die von den Experten empfohlene Lösung offenbar als Lösung “nur mit Plugin” bezeichnet. Sie wird dort mit 0,5 Punkten ausgezeichnet. PGP-Lösungen, die beim Anbieter direkt im Webinterface integriert sind, werden hingegen mit 1 Punkt versehen. Das Fehlen von PGP im Webinterface wird mit 0 ausgezeichnet.

Regierungen wollen Nachrichten entschlüsseln können

Endgültig werden wir erst am Mittwoch erfahren, ob die Stiftung Warentest diese Einschätzung hierzu tatsächlich in ihrer Veröffentlichung aufrecht erhält. Sollte dem so sein, halten wir dies für gefährlich: Befindet sich der Schlüssel im Einflussbereich des Anbieters (privater Key auf Anbieter-Servern/ in Smartphone- oder Web-Apps), kann der private Schlüssel kompromittiert werden. Hier gibt es auch eine politische Ebene: Derzeit stellt Ende-zu-Ende-Verschlüsselung noch eine valide Möglichkeit dar, sich gegen unbefugte Mitleser zu schützen. Aktuelle Pläne europäischer Regierungen zeigen jedoch, dass Anbieter womöglich schon bald gesetzlich dazu verpflichtet werden könnten, vorgehaltene Schlüssel herauszugeben, Nachrichten zu entschlüsseln oder sogar eine Hintertür für den Staat einzubauen. Diese kann dann auch von Unbefugten, wie Kriminellen und Geheimdiensten, missbraucht werden.
Spricht sich die Stiftung Warentest zum aktuellen Zeitpunkt, aus evtl. von ihr empfundenen “Komfort”-Gründen, für die Praxis privater Schlüssel auf den Anbieterservern aus, leistet sie genau dieser politischen Entwicklung Vorschub. Werden Anbieter von der Stiftung Warentest wegen echter Ende-zu-Ende-Verschlüsselung abgewertet, werden einige sich bis zum nächsten Test ggf. dafür entscheiden, kompromittierbare Lösungen anzubieten, um nicht schlechter bewertet zu werden. Bei Posteo werden wir dies nicht tun.

Wir haben auch zu einigen anderen Punkten der Anbieter-Vorab-Information Kritik. Hier müssen wir jedoch die Veröffentlichung abwarten.
Sollten Sie Fragen haben, können Sie sich jederzeit per E-Mail an uns wenden.

Viele Grüße
Ihr Posteo-Team

Neu: Webmailer zeigt Server mit höchster Versandsicherheit an

Erstellt am 18. August 2016, 14:30 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben eine neue Funktion für Sie freigeschaltet: Unser Webmailer zeigt nun an, an welche Kontakte Sie E-Mails bestmöglich abgesichert mit DANE versenden. Sie erkennen dies an einem kleinen, grünen DANE-Symbol über einer E-Mail-Adresse.



Für uns ist die neue DANE-Anzeige etwas ganz Besonderes. Denn als wir im Mai 2014 die neue Sicherheitstechnologie eingeführt hatten, war Posteo laut heise.de offenbar noch der einzige Anbieter weltweit, der DANE unterstützt. Und viele IT-Experten waren damals skeptisch, ob sich die neue Technologie durchsetzen kann. Inzwischen hat sich das geändert und es lohnt sich bereits anzuzeigen, ob andere Server DANE unterstützen: Wir übermitteln E-Mails an viele E-Mail-Server weltweit standardmäßig mit DANE, unter anderem auch an große deutsche Anbieter wie 1&1 (u.a. GMX und web.de). #more#

Die Technologie setzt sich aus gutem Grund durch: DANE eliminiert verschiedene Schwachstellen der zwischen E-Mailservern weit verbreiteten Transportwegverschlüsselung STARTTLS – und erhöht die Sicherheit beim verschlüsselten E-Mail-Transport. Ohne DANE wird eine Verschlüsselung zum Beispiel nicht “erzwungen”, sondern bei jeder einzelnen Verbindung zwischen den beteiligten E-Mailservern neu ausgehandelt. Mit DANE müssen die miteinander kommunizierenden E-Mailserver jede Verbindung zwingend verschlüsseln. Kommt es zu Störungen bei der Verschlüsselung oder ist die Kommunikation einem Angriff ausgesetzt, wird die E-Mail nicht versendet. DANE-fähige Server führen vor dem Übermitteln von E-Mails außerdem eine Überprüfung ihrer Sicherheitszertifikate durch – ähnlich einer Ausweiskontrolle. So stellen sie sicher, dass der andere Server auch tatsächlich “das echte Ziel” der Kommunikation ist und kein so genannter “Man in the Middle”, der sich dazwischen geschaltet hat. Mit DANE kann ein verschlüsselter Versand vorab sicher zugesagt werden. Und deswegen bieten wir eine DANE-Anzeige in unserem Webmailer an. Zusammengefasst bedeutet die neue Anzeige für Sie: Sehen Sie dieses Symbol, wird Ihre E-Mail an diesen Empfänger garantiert mit DANE übertragen. Sie wird erstens über einen verschlüsselten Transportweg und zweitens an den tatsächlichen Empfänger-Server gesendet.

Tipp: TLS-Versand-Garantie schützt Sie auch bei Servern ohne DANE

Wird Ihnen das DANE-Symbol bei einer Adresse nicht angezeigt, unterstützt der Empfänger-Server DANE bisher nicht.
Beispiele für große Anbieter, die DANE bisher nicht unterstützen, sind z.B. Gmail oder Yahoo.
Diese unterstützen zwar verschlüsselte Verbindungen zwischen E-Mailservern. Aber: Ohne DANE kann es bei Störungen oder Angriffen, wie oben beschrieben, dennoch zu unverschlüsselten Verbindungen kommen. Und zwar bei jeder einzelnen E-Mail neu. Deshalb kann ohne DANE keine seriöse Aussage über die Sicherheit einer Verbindung zwischen zwei Mailservern gemacht werden.


Hierzu haben wir einen wichtigen Tipp: Bei Posteo können Sie einen Versand ohne TLS grundsätzlich ausschließen.

Aktivieren Sie Ihre persönliche TLS-Versand-Garantie in den Postfach-Einstellungen.

Sie stellt sicher, dass die Transportwege Ihrer E-Mails auch an E-Mailserver ohne DANE garantiert mit TLS verschlüsselt werden. Aktivieren Sie Ihre TLS-Versand-Garantie, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht verschlüsselt ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Sollten unbefugte Dritte also eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten, wird der Versand abgebrochen.

Viele Grüße
Ihr Posteo-Team


Lesetipp: Warum gibt es bei Posteo eine DANE-Anzeige – und keine TLS-Anzeige?